스페인에 거주하는 한 프로그래머가 중국 가전업체 DJI의 로봇청소기 보안 취약점을 발견해 전 세계 약 7,000대의 기기를 원격 제어할 수 있게 된 사실이 알려져 화제다. 12일(현지 시각) IT 전문 매체 더버지와 와이어드에 따르면, 프로그래머 새미 아즈두팔(Sammy Azdoufal)은 DJI 로봇청소기의 보안 결함을 찾아낸 공로로 해당 업체로부터 3만 달러(약 4,000만 원)의 보상금을 받았다. 아즈두팔은 최근 구매한 DJI 로모(Romo) 로봇청소기를 분석하던 중, AI 코딩 어시스턴트인 ‘클로드 코드(Claude Code)’를 활용해 기기의 통신 프로토콜을 역설계했다. 이 과정에서 그는 플레이스테이션 5 게임 패드로 자신의 기기를 원격 제어하는 데 성공했다.
문제는 그가 만든 커스텀 원격 제어 애플리케이션이 DJI 서버와 통신을 시작하면서 발생했다. 그의 기기뿐만 아니라 전 세계 24개국에 퍼져 있는 약 7,000대의 로봇청소기가 동시에 반응한 것이다. 아즈두팔은 이를 통해 타인의 집 안에 있는 로봇청소기를 원격으로 조작하고 카메라 피드에 접근해 내부를 보거나 들을 수 있었으며, 로봇이 생성한 2차원 평면도와 IP 주소를 통한 대략적인 위치 정보까지 파악할 수 있었다. 그는 이 과정에서 시스템을 강제로 해킹하거나 비밀번호를 크랙하는 등의 불법적인 수단을 쓰지 않았으며, 단지 자신의 기기에서 추출한 개인 인증 토큰을 사용했을 뿐인데 서버가 수천 대의 다른 기기 정보를 반환했다고 설명했다.
DJI 측은 이번 보안 사고와 관련해 보안 핀코드(PIN) 없이도 영상 스트리밍을 볼 수 있었던 결함을 지난 2월 말까지 해결했다고 공식 확인했다. 데이지 콩 DJI 대변인은 “해당 보안 취약점을 식별한 연구원에게 보상금을 지급했으며, 주요 이슈를 해결하기 위한 소프트웨어 업데이트를 배포했다”고 밝혔다. 다만 업체 측은 남아있는 추가적인 취약점들을 완전히 해결하는 데는 약 한 달 정도의 시간이 더 소요될 수 있다고 덧붙였다. 전문가들은 이번 사건이 AI 도구를 활용한 보안 취약점 발견의 효율성을 보여주는 동시에, 사물인터넷(IoT) 기기들의 서버 관리 부실이 심각한 사생활 침해로 이어질 수 있음을 경고한 사례라고 평가했다.
